从2006年第一个《银行业金融机构信息系统风险管理指引》到2009年《商业银行信息科技风险管理指引》，不论是在定位、范围还是在内涵方面，银监会对中国银行业的IT风险管理都提出了更高要求。

金融危机让人们的神经绷得很紧，像是惊弓之鸟，对于风险的认识也达到了空前的程度。2008年初，银监会主席刘明康将提高风险管控能力作为银监会2008年工作的重点之一。信用风险、操作风险、信息科技风险以及市场风险均被列入监管层重点控制的风险点。
         信息科技从支持业务逐步走向与业务融合，并成为银行稳健运营和发展的支柱，同时银行对于信息科技的风险监管提出了更高要求。而2006年只定位为银行业金融机构的最起码要求的《银行业金融机构信息系统风险管理指引》已不能满足银行业发展需求， 被2009年6月银监会颁布的《商业银行信息科技风险管理指引》替代，原《指引》（银监发［2006］63号）同时废止。
         7月初，针对新旧《指引》的区别以及目前银行在信息科技风险管理方面存在的问题，《CIO INSIGHT/信息方略》杂志记者与中国银行业监督管理委员会信息中心信息科技风险监管处处长陈文雄进行了深入沟通。
         CIOI：6月1日， 银监会出台了《商业银行信息科技风险管理指引》，提出在银行内部设立CIO以及强化风险监管和IT审计等几大重点问题。而2006年银监会曾经出台过《银行业金融机构信息系统风险管理指引》，请问这前后两个《指引》有何不同？
         陈文雄：主要是定位不同，原《指引》只定位为所有的银行业金融机构需要达到最起码的要求；新《指引》则参照国际经验对商业银行提出高标准、高要求。原《指引》是针对当时中国银行业发展状况制定的，随着银行业信息化的发展，有些地方已经不能满足银行业IT实际发展需求。两个《指引》的根本区别在于定位的不同。
         此外，新旧《指引》在适用范围、定义、对董事会和高管的要求、信息科技风险管理、信息安全、业务连续性、外包、审计、对外资的要求等方面也有许多不同。在2006年《指引》出台后，我们大约用了一年半的时间，对原《指引》进行修订，在今年出台这一新《指引》。
         还需要强调的一点是，原《指引》定义是针对信息系统，新《指引》针对信息科技，虽然只有两字之差，但信息科技已不仅仅局限于IT本身所包含的各种技术，而是将所有IT活动囊括其中，不单是就技术论技术。新《指引》参照国际标准融入了IT治理和IT风险管理的理念，并对原《指引》的多处内容做了细化和深化处理。新《指引》更能反映目前中国银行业信息化发展现状，满足银行需求。

        Q：目前我国商业银行的信息科技风险管理处于哪种阶段？主要存在哪些问题？
         A：我认为，目前国内银行业在信息科技风险管理上整体处于初级阶段，不管是大型银行还是中小银行。虽然不同银行间有着巨大差别，但整体仍处于初级阶段。
         当下银行业信息科技风险防控更多的是头痛医头、脚痛医脚，把IT只当作一个拐棍或支持服务的工具，风险防范的防线不够完备，就技术论技术，信息科技不能与业务很好融合。我们清醒地认识到我们正处于初级阶段的实际，才能更好地实施信息科技风险管理。
         因此，银行信息科技风险管理需要改变的是意识、是思路，我们的银行高管和CIO们不应仅仅只是防范各种诸如宕机、通讯中断、数据丢失等IT技术的风险，而是要思考如何通过IT技术来防范银行的各种业务风险。信息科技风险管理不只是CIO一个人的事情，信息科技风险也不只是信息科技部门的事，而是涉及到机构内部所有人员。新旧《指引》最根本的是理念的转变。
         新《指引》首先从董事会着手，明确董事会需要履行的工作，明确董事会在信息科技风险管理中的责任问题。因为IT的实施需要高管层领导的推动，这一点很重要。新《指引》还填补了风险管理资金落实、企业文化、人才培养等问题。
         2006年，原《指引》的出台填补了我国监管的空白，从实施效果来看，很多银行在信息系统风险防范能力方面取得了长足进步。新《指引》在旧《指引》基础上，调整充实了不少内容，相信能更好地促进我国银行业信息科技风险的防控工作。
         外界对新《指引》存在一些误读，比如认为IT风险管理的第一道防线是信息安全，其实不然。我们把IT风险管理分为三道防线：第一道指信息科技管理，需要全员参与风险防范，所有人都应遵守风险防控的准则，人人具备风险防控的意识，否则一个U盘就可能将所有安全防范努力付之东流。
         银行机构里的每个人都直接影响IT风险管控的效果，第一道防线既是关键也是根本。因此，新《指引》明确要求对违反信息安全的行为实行零容忍策略；第二道防线是IT风险管理，从风险的角度如何来防范；第三道防线是IT审计，即内审和外审。这三道防线要同时进行，在不同的角度、维度相互作用，三道防线存在交叉点，而不是重合线，从而形成一个立体防护网。
         目前部分银行虽然做得比较好，但总体上三道防线都没有起来，没有形成立体屏障，尤其在IT治理、风险管理等方面还存在不足，整体处于初级阶段。

        Q：您认为商业银行在信息科技风险管理中的难点是什么？
         A：我认为具体技术问题不是风险管理的难点，根本的难点是领导的重视问题，只要银行高管真正认识到IT风险管控的重要性，什么问题都好办。俗话说三分技术、七分管理，但恰恰是一些人仅仅认识到风险管控的技术问题，没有认识到风险管控应上升至管理问题。
         从以往实践上来看，银行领导对信息科技风险管理重视不够，尤其对于公司治理与IT治理的关系不明确。我把它形象概括为“四要”：说起来很重要；做起来急着要；排起队来次要；出了问题什么都不要。因此，信息科技风险管理如果不解决高管认识问题，其他问题很难得到根本解决。应该从IT治理角度入手，将公司治理与IT治理结合起来。
         我们预计用3年时间，按照属地监管的原则对全国的商业银行按照新的《指引》进行一遍现场检查，具体检查信息科技风险管理状况，以推动我国银行业信息科技风险防控水平不断提高。

        Q：信息科技风险管理最重要的目的就是保持业务连续性，您如何看待这二者之间的关系？
         A：现在全球都存在一个问题：业务连续性在IT治理层面提出。实际上业务连续性更多的应该是公司治理层面关注的问题。如果仅仅靠IT层面来推动，虽能得到改善，但不能解决根本问题，因为业务连续性主要是业务问题而不是IT问题。
         人们往往在这上面存在误区，误认为IT是保证业务连续性的有效工具，可以支撑业务发展，这种片面的看法仅仅停留在把IT当拐棍。有关业务连续性的问题有时不需要IT也能解决。例如：地震期间系统瘫痪，在系统未恢复期间业务就不能继续运作？难道不能通过手工办法记录账户交易，待系统恢复后再重新录入信息？不要把业务中的所有问题都推到IT的身上。IT实现了连续性不等于业务实现了连续性。搞好业务连续性管理需要银行领导把IT当做企业的资产，真正重视IT。

        Q：我们经常会看到一些银行的安全风险事故，有些甚至是造成了较大的影响。您认为造成安全事故频发的原因是什么？
         A：这是一个误区，IT事件的发生很正常，如果一出现IT事件就当做一个重大问题，或同一类问题反复出现，那就很有问题。领导经常提出要保证系统的万无一失，其实这除了运气根本无法做到，因为信息科技面临的领域很多，关联的面也很多，如电力、电信、数据库等核心软件、主机和网络等硬件都有可能随时出现问题，并不受我们主观控制。所以弄得IT人员天天提心吊胆，就像整天顶着一个大火盆。我们要把安全事故设定在合理的范围内，什么样的问题在什么样的范围内是合乎标准的，对安全事故要有一个合理的界定。
         我们除了要做好风险排查，更重要的是要把更多的功夫用在出了问题如何应对，做好切合实际的应急措施和预案，在出现问题时能快速反应，控制风险、减少损失，而不是简单地考虑出了问题如何惩罚。造成现在这种局面，恰恰是对IT工作的评价体系出了问题。

        Q：您认为风险管控在现今金融环境下有怎样的意义？
         A：首先肯定一点，在当下金融危机环境下，银行的收益受到了挤压，IT如果管不好，出现问题，就会造成损失，还要被迫投入更多资金整改，银行的效益更会雪上加霜。因此，此时管好IT就能创造利润。其次，如果银行在金融危机下IT风险出了问题，对于银行的声誉、品牌形象影响很大，而现在正是银行树立自己品牌的时候。管好信息科技风险对银行业平稳度过金融危机，同时把银行做大做强意义重大。